ProHoster > blogg > administration > Check Point Gaia 80.40 kr. Vad är nytt?

Check Point Gaia 80.40 kr. Vad är nytt?

Check Point Gaia 80.40 kr. Vad är nytt?

Nästa version av operativsystemet närmar sig Gaia 80.40 krFör några veckor sedan Early Access-programmet lanserat, vilket kan användas för att få tillgång till att testa distributionen. Som vanligt publicerar vi information om vad som kommer att vara nytt, och lyfter även fram de punkter som är mest intressanta ur vårt perspektiv. När jag ser framåt kan jag säga att innovationerna är riktigt betydande. Därför är det värt att förbereda sig för den förestående uppdateringsproceduren. Tidigare hade vi redan publicerade en artikel om hur man gör detta (för mer information, vänligen kontakta här). Nu kör vi igång...

Vad är nytt

Låt oss titta på de officiellt tillkännagivna innovationerna här. Information hämtad från webbplatsen. Kolla kompisar (Officiell Check Point-gemenskap). Med er tillåtelse kommer jag inte att översätta den här texten, som tur är tillåter Habrs publik det. Istället lämnar jag mina kommentarer i nästa kapitel.

1. IoT-säkerhet. Nya funktioner relaterade till sakernas internet

  • Samla in IoT-enheter och trafikattribut från certifierade IoT-identifieringsmotorer (stöder för närvarande Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM och Armis).
  • Konfigurera ett nytt IoT-dedikerat policylager i policyhantering.
  • Konfigurera och hantera säkerhetsregler som är baserade på IoT-enheternas attribut.

2. TLS-inspektionHTTP / 2:

  • HTTP/2 är en uppdatering av HTTP-protokollet. Uppdateringen förbättrar hastighet, effektivitet och säkerhet, vilket resulterar i en bättre användarupplevelse.
  • Check Points Security Gateway stöder nu HTTP/2 och ger bättre hastighet och effektivitet samtidigt som den får full säkerhet, med alla blad för hotförebyggande åtgärder och åtkomstkontroll, samt nya skydd för HTTP/2-protokollet.
  • Stödet gäller både tydlig och SSL-krypterad trafik och är helt integrerat med HTTPS/TLS
  • Inspektionskapacitet.

TLS-inspektionslagerInnovationer gällande HTTPS-inspektion:

  • Ett nytt policylager i SmartConsole dedikerat till TLS-inspektion.
  • Olika TLS-inspektionslager kan användas i olika policypaket.
  • Delning av ett TLS-inspektionslager mellan flera policypaket.
  • API för TLS-operationer.

3. Hotförebyggande

  • Övergripande effektivitetsförbättring för processer och uppdateringar för hotförebyggande åtgärder.
  • Automatiska uppdateringar av hotutvinningsmotorn.
  • Dynamiska, domän- och uppdateringsbara objekt kan nu användas i principer för hotdetektering och TLS-inspektion. Uppdaterbara objekt är nätverksobjekt som representerar en extern tjänst eller en känd dynamisk lista med IP-adresser, till exempel - Office365 / Google / Azure / AWS IP-adresser och Geo-objekt.
  • Antivirus använder nu SHA-1- och SHA-256-hotindikationer för att blockera filer baserat på deras hashvärden. Importera de nya indikatorerna från SmartConsole-hotindikatorvyn eller Custom Intelligence Feed CLI.
  • Antivirus och SandBlast-hotesemulering har nu stöd för inspektion av e-posttrafik över POP3-protokollet, samt förbättrad inspektion av e-posttrafik över IMAP-protokollet.
  • Antivirus och SandBlast-hotsemulering använder nu den nyligen introducerade SSH-inspektionsfunktionen för att inspektera filer som överförs via SCP- och SFTP-protokollen.
  • Antivirus och SandBlast Threat Emulation ger nu förbättrat stöd för SMBv3-inspektion (3.0, 3.0.2, 3.1.1), vilket inkluderar inspektion av flerkanaliga anslutningar. Check Point är nu den enda leverantören som stöder inspektion av filöverföringar via flera kanaler (en funktion som är aktiverad som standard i alla Windows-miljöer). Detta gör att kunderna kan vara säkra när de arbetar med denna prestandaförbättrande funktion.

4. Identitetsmedvetenhet

  • Stöd för Captive Portal-integration med SAML 2.0 och identitetsleverantörer från tredje part.
  • Stöd för Identity Broker för skalbar och detaljerad delning av identitetsinformation mellan PDP:er, samt delning mellan domäner.
  • Förbättringar av Terminal Servers Agent för bättre skalning och kompatibilitet.

5. IPsec VPN

  • Konfigurera olika VPN-krypteringsdomäner på en Security Gateway som är medlem i flera VPN-communities. Detta ger:
  • Förbättrad integritet — Interna nätverk avslöjas inte i IKE-protokollförhandlingar.
  • Förbättrad säkerhet och granularitet — Ange vilka nätverk som är tillgängliga i en specifik VPN-community.
  • Förbättrad interoperabilitet — Förenklade ruttbaserade VPN-definitioner (rekommenderas när du arbetar med en tom VPN-krypteringsdomän).
  • Skapa och arbeta sömlöst med en storskalig VPN-miljö (LSV) med hjälp av LSV-profiler.

6. URL-filtrering

  • Förbättrad skalbarhet och motståndskraft.
  • Utökade felsökningsmöjligheter.

7.NAT

  • Förbättrad NAT-portallokeringsmekanism — på Security Gateways med 6 eller fler CoreXL Firewall-instanser använder alla instanser samma pool av NAT-portar, vilket optimerar portutnyttjandet och återanvändningen.
  • Övervakning av NAT-portanvändning i CPView och med SNMP.

8. Röst över IP (VoIP)Flera CoreXL Firewall-instanser hanterar SIP-protokollet för att förbättra prestandan.

9. Fjärråtkomst VPNAnvänd maskincertifikat för att skilja mellan företagstillgångar och icke-företagstillgångar och för att ställa in en policy som endast tillämpar användningen av företagstillgångar. Tillämpning kan ske före inloggning (endast enhetsautentisering) eller efter inloggning (enhets- och användarautentisering).

10. Agent för mobil åtkomstportalFörbättrad slutpunktssäkerhet på begäran i Mobile Access Portal Agent för att stödja alla större webbläsare. För mer information, se sk113410.

11. CoreXL och Multi-Queue

  • Stöd för automatisk allokering av CoreXL SND:er och brandväggsinstanser som inte kräver omstart av Security Gateway.
  • Förbättrad direkt ur lådan-upplevelse — Security Gateway ändrar automatiskt antalet CoreXL SND:er och brandväggsinstanser samt Multi-Queue-konfigurationen baserat på den aktuella trafikbelastningen.

12. Klustring

  • Stöd för Cluster Control Protocol i Unicast-läge som eliminerar behovet av CCP

Sändnings- eller multicast-lägen:

  • Cluster Control Protocol-kryptering är nu aktiverad som standard.
  • Nytt ClusterXL-läge - Aktiv/Aktiv, som stöder klustermedlemmar på olika geografiska platser som finns på olika subnät och har olika IP-adresser.
  • Stöd för ClusterXL-klustermedlemmar som kör olika programvaruversioner.
  • Eliminerade behovet av MAC Magic-konfiguration när flera kluster är anslutna till samma subnät.

13. VSX

  • Stöd för VSX-uppgradering med CPUSE i Gaia Portal.
  • Stöd för Active Up-läge i VSLS.
  • Stöd för CPView-statistikrapporter för varje virtuellt system

14. Noll beröringEn enkel Plug & Play-installationsprocess för att installera en apparat – vilket eliminerar behovet av teknisk expertis och behovet av att ansluta till apparaten för den initiala konfigurationen.

15. Gaia REST APIGaia REST API erbjuder ett nytt sätt att läsa och skicka information till servrar som kör Gaia Operating System. Se sk143612.

16. Avancerad routing

  • Förbättringar av OSPF och BGP gör det möjligt att återställa och starta om OSPF i närheten för varje CoreXL Firewall-instans utan att behöva starta om den routade daemonen.
  • Förbättrad ruttuppdatering för förbättrad hantering av BGP-routinginkonsekvenser.

17. Nya kärnfunktioner

  • Uppgraderad Linux-kärna
  • Nytt partitioneringssystem (gpt):
  • Stöder mer än 2 TB fysiska/logiska hårddiskar
  • Snabbare filsystem (xfs)
  • Stöder större systemlagring (upp till 48 TB testad)
  • I/O-relaterade prestandaförbättringar
  • Flera köer:
  • Fullständigt Gaia Clish-stöd för kommandon i flera köer
  • Automatisk konfiguration som är "på som standard"
  • Stöd för SMB v2/3-montering i Mobile Access-bladet
  • Lade till stöd för NFSv4 (klient) (NFS v4.2 är standardversionen av NFS som används)
  • Stöd för nya systemverktyg för felsökning, övervakning och konfigurering av systemet

18. CloudGuard-kontrollenhet

  • Prestandaförbättringar för anslutningar till externa datacenter.
  • Integration med VMware NSX-T.
  • Stöd för ytterligare API-kommandon för att skapa och redigera Data Center Server-objekt.

19. Server med flera domäner

  • Säkerhetskopiera och återställ en enskild domänhanteringsserver på en server med flera domäner.
  • Migrera en domänhanteringsserver på en multidomänserver till en annan säkerhetshantering för flera domäner.
  • Migrera en säkerhetshanteringsserver för att bli en domänhanteringsserver på en server med flera domäner.
  • Migrera en domänhanteringsserver till en säkerhetshanteringsserver.
  • Återställ en domän på en server med flera domäner eller en säkerhetshanteringsserver till en tidigare version för vidare redigering.

20. Smarta uppgifter och API

  • Ny autentiseringsmetod för Management API som använder en automatiskt genererad API-nyckel.
  • Nya Management API-kommandon för att skapa klusterobjekt.
  • Central distribution av Jumbo Hotfix Accumulator och Hotfixes från SmartConsole eller med ett API gör det möjligt att installera eller uppgradera flera Security Gateways och Clusters parallellt.
  • Smarta uppgifter — Konfigurera automatiska skript eller HTTPS-förfrågningar som utlöses av administratörsuppgifter, till exempel att publicera en session eller installera en policy.

21. DriftsättningCentral distribution av Jumbo Hotfix Accumulator och Hotfixes från SmartConsole eller med ett API gör det möjligt att installera eller uppgradera flera Security Gateways och Clusters parallellt.

22. SmartEventDela SmartView-vyer och rapporter med andra administratörer.

23. LoggexportörExportera loggar filtrerade efter fältvärden.

24. Endpoint Security

  • Stöd för BitLocker-kryptering för fullständig diskkryptering.
  • Stöd för externa certifikatutfärdare för Endpoint Security-klienter
  • autentisering och kommunikation med Endpoint Security Management Server.
  • Stöd för dynamisk storlek på Endpoint Security Client-paket baserat på den valda
  • Funktioner för distribution.
  • Policyen kan nu styra nivån av aviseringar till slutanvändare.
  • Stöd för persistent VDI-miljö i Endpoint Policy Management.

Vad vi gillade mest (baserat på kundernas uppgifter)

Som ni ser finns det många innovationer. Men för oss, vad gäller systemintegratör, det finns några mycket intressanta punkter (som också är intressanta för våra kunder). Våra topp 10:

  1. Slutligen finns det fullt stöd för IoT-enheter. Det är redan ganska svårt att hitta ett företag som inte har sådana enheter.
  2. TLS-inspektion har nu flyttats till ett separat lager. Detta är mycket bekvämare än det är nu (i 80.30). Du behöver inte längre köra den gamla Legacy Dashboard. Dessutom kan du nu använda uppdateringsbara objekt i HTTPS-inspektionspolicyn, till exempel Office 365, Google, Azure, AWS, etc. Detta är mycket praktiskt när du behöver konfigurera undantag. Det finns dock fortfarande inget stöd för TLS 1.3. Tydligen kommer de att "komma ikapp" med nästa snabbkorrigering.
  3. Betydande förändringar för antivirus och SandBlast. Nu kan du kontrollera protokoll som SCP, SFTP och SMBv3 (förresten, ingen annan kan kontrollera detta flerkanaliga protokoll).
  4. Det finns många förbättringar gällande Site-to-Site VPN. Nu kan du konfigurera flera VPN-domäner på en gateway som är medlem i flera VPN-communities. Detta är väldigt bekvämt och mycket säkrare. Dessutom har Check Point äntligen kommit ihåg Route Based VPN och förbättrat dess stabilitet/kompatibilitet något.
  5. En mycket populär funktion för fjärranvändare har dykt upp. Nu kan man autentisera inte bara användaren, utan även den enhet som hen ansluter från. Till exempel vill vi endast tillåta VPN-anslutningar från företagsenheter. Detta görs naturligtvis med hjälp av certifikat. Det har också blivit möjligt att automatiskt montera (SMB v2/3) fildelningar för fjärranvändare med en VPN-klient.
  6. Det finns många förändringar i klusterdriften. Men kanske en av de mest intressanta är möjligheten att driva ett kluster där gateways har olika versioner av Gaia. Detta är praktiskt när man planerar en uppdatering.
  7. Förbättrade Zero Touch-funktioner. Användbart för de som ofta installerar "små" gateways (till exempel för bankomater).
  8. Loggar stöder nu lagring upp till 48 TB.
  9. Du kan dela dina SmartEvent-instrumentpaneler med andra administratörer.
  10. Med Log Exporter kan du nu förfiltrera skickade meddelanden efter obligatoriska fält. Det vill säga att endast obligatoriska loggar och händelser skickas till dina SIEM-system.

Uppdatera

Många kanske redan funderar på att uppgradera. Skynda dig inte. Först bör version 80.40 bli allmänt tillgänglig. Men även efter det, uppgradera inte direkt. Det är bättre att vänta på åtminstone den första snabbkorrigeringen.
Kanske "sitter" många på äldre versioner. Jag kan säga att det åtminstone redan är möjligt (och till och med nödvändigt) att uppdatera till 80.30. Detta är redan ett stabilt och beprövat system!

Du kan också prenumerera på våra offentliga sidor (Telegram, Facebook, VK, TS Lösningsblogg), där du kan följa uppkomsten av nytt material på Check Point och andra säkerhetsprodukter.

Endast registrerade användare kan delta i undersökningen. Logga in, Snälla du.

Vilken version av Gaia använder du?

  • R77.10
  • R77.30
  • R80.10
  • R80.20
  • R80.30
  • Övrigt

13 användare röstade. 6 användare avstod från att rösta.

Källa: will.com